ESET 联机帮助

选择类别
选择主题

导出为 JSON 格式的事件

JSON 是用于数据交换的轻量级格式。它构建于名称/值对集合和值排序列表之上。

导出的事件

此部分包含有关格式的详细信息和所有导出的事件的属性含义。事件消息使用带有某些必填和可选密钥的 JSON 对象格式。每个导出的事件都将包含以下密钥:

event_type

字符串

 

导出的事件类型:

Threat_Event

FirewallAggregated_Event

HipsAggregated_Event

Audit_Event

FilteredWebsites_Event

EnterpriseInspectorAlert_Event

BlockedFiles_Event

ipv4

字符串

可选

生成事件的计算机 IPv4 地址。

ipv6

字符串

可选

生成事件的计算机 IPv6 地址。

source_uuid

字符串

 

生成事件的计算机 UUID。

occurred

字符串

 

事件发生的 UTC 时间。格式为 %d-%b-%Y %H:%M:%S

severity

字符串

 

事件的严重级别。可能的值(从最低严重级别到最高严重级别)是:信息 通知 警告 错误 关键 致命


note

下面列出的所有事件类型以及所有严重级别都会报告给系统日志服务器。 要过滤发送到系统日志的事件日志,请使用定义的过滤器创建日志类别通知

报告的值取决于托管计算机上安装的 ESET 安全产品(及其版本),并且 ESET PROTECT 仅报告接收的数据。因此,ESET 无法提供所有值的详尽列表。我们建议查看您的网络并基于您收到的值过滤日志。

依据 event_type 的自定义密钥:

Threat_Event

由托管端点生成的所有检测事件将转发至系统日志。检测事件特定密钥:

threat_type

字符串

可选

检测类型

threat_name

字符串

可选

检测名称

threat_flags

字符串

可选

与检测相关的标志

scanner_id

字符串

可选

扫描程序 ID

scan_id

字符串

可选

扫描 ID

engine_version

字符串

可选

扫描引擎版本

object_type

字符串

可选

与该事件相关的对象类型

object_uri

字符串

可选

对象 URI

action_taken

字符串

可选

由端点执行的操作

action_error

字符串

可选

“操作”失败时的错误消息

threat_handled

布尔值

可选

指出检测是否已处理

need_restart

布尔值

可选

是否需要重启

username

字符串

可选

与事件关联的用户帐户的名称

processname

字符串

可选

与事件关联的进程的名称

circumstances

字符串

可选

造成该事件的简短说明

hash

字符串

可选

(检测)数据流的 SHA1 哈希。

firstseen

字符串

可选

在该计算机上首次找到检测的时间和日期。ESET PROTECT 为firstseen 属性(及任何其他日期-时间属性)采用不同的日期-时间属性,具体取决于日志输出格式(JSON 或 LEEF):

JSON 格式:"%d-%b-%Y %H:%M:%S"

LEEF 格式:"%b %d %Y %H:%M:%S"

arrow_down_business Threat_Event 日志示例:

FirewallAggregated_Event

由 ESET 防火墙生成的事件日志会通过管理 ESET Management 服务器代理进行汇总,以避免在 ESET Management 服务器代理/ESET PROTECT 服务器复制期间浪费带宽。防火墙事件特定密钥:

event

字符串

可选

事件名称

source_address

字符串

可选

事件来源地址

source_address_type

字符串

可选

事件来源地址类型

source_port

数字

可选

事件来源端口

target_address

字符串

可选

事件目标地址

target_address_type

字符串

可选

事件目标地址类型

target_port

数字

可选

事件目标端口

protocol

字符串

可选

协议

account

字符串

可选

与事件关联的用户帐户的名称

process_name

字符串

可选

与事件关联的进程的名称

rule_name

字符串

可选

规则名称

rule_id

字符串

可选

规则 ID

inbound

布尔值

可选

连接是否处于入站状态

threat_name

字符串

可选

检测名称

aggregate_count

数字

可选

ESET PROTECT 服务器和管理 ESET Management 服务器代理之间的两个连续副本之间的端点生成了多少条完全相同的消息

action

字符串

可选

已采取操作

handled

字符串

可选

指出检测是否已处理

arrow_down_business FirewallAggregated_Event 日志示例:

HIPSAggregated_Event

基于主机的入侵防护系统的事件按严重级别过滤,之后作为系统日志记录消息继续发送。仅将带有严重级别错误严重致命的事件发送至系统日志。HIPS 特定属性如下所述:

application

字符串

可选

应用程序名称

operation

字符串

可选

操作

target

字符串

可选

目标

action

字符串

可选

已采取操作

action_taken

字符串

可选

由端点执行的操作

rule_name

字符串

可选

规则名称

rule_id

字符串

可选

规则 ID

aggregate_count

数字

可选

ESET PROTECT 服务器和管理 ESET Management 服务器代理之间的两个连续副本之间的端点生成了多少条完全相同的消息

handled

字符串

可选

指出检测是否已处理

arrow_down_business HipsAggregated_Event 日志示例:

Audit_Event

ESET PROTECT 将服务器的内部审核日志消息转发到系统日志。特定属性如下所示:

domain

字符串

可选

审核日志域

action

字符串

可选

正在发生的操作

target

字符串

可选

目标操作正在执行于

detail

字符串

可选

操作的详细说明

user

字符串

可选

涉及的安全用户

result

字符串

可选

操作的结果

arrow_down_business Audit_Event 日志示例:

FilteredWebsites_Event

ESET PROTECT 将过滤的网站(Web 防护检测)转发到系统日志。特定属性如下所示:

hostname

字符串

可选

发生事件的计算机的主机名

processname

字符串

可选

与事件关联的进程的名称

username

字符串

可选

与事件关联的用户帐户的名称

hash

字符串

可选

过滤的对象的 SHA1 哈希

event

字符串

可选

事件类型

rule_id

字符串

可选

规则 ID

action_taken

字符串

可选

已采取操作

scanner_id

字符串

可选

扫描程序 ID

object_uri

字符串

可选

对象 URI

target_address

字符串

可选

事件目标地址

target_address_type

字符串

可选

事件目标地址类型 25769803777 = IPv4; 25769803778 = IPv6)

handled

字符串

可选

指出检测是否已处理

arrow_down_business FilteredWebsites_Event 日志示例:

EnterpriseInspectorAlert_Event

ESET PROTECT 将 ESET Inspect 警报转发到系统日志。特定属性如下所示:

processname

字符串

可选

导致此警报的进程的名称

username

字符串

可选

进程所有者

rulename

字符串

可选

触发此警报的规则的名称

count

数字

可选

自上一次警报以来生成的此类型警报的数量

hash

字符串

可选

警报的 SHA1 哈希

eiconsolelink

字符串

可选

在 ESET Inspect 控制台中链接到警报

eialarmid

字符串

可选

警报链接的 ID 子部分(^http.*/alarm/([0-9]+)$ 中的 $1)

computer_severity_score

数字

可选

计算机严重级别评分

severity_score

数字

可选

规则严重级别评分

arrow_down_business EnterpriseInspectorAlert_Event 日志示例:

BlockedFiles_Event

ESET PROTECT 将 ESET Inspect 阻止的文件转发到系统日志。特定属性如下所示:

hostname

字符串

可选

发生事件的计算机的主机名

processname

字符串

可选

与事件关联的进程的名称

username

字符串

可选

与事件关联的用户帐户的名称

hash

字符串

可选

阻止的文件的 SHA1 哈希

object_uri

字符串

可选

对象 URI

action

字符串

可选

已采取操作

firstseen

字符串

可选

在该计算机上首次发现检测的时间和日期(日期和时间格式)。

cause

字符串

可选

 

description

字符串

可选

阻止的文件的描述

handled

字符串

可选

指出检测是否已处理